spacer TO LEARN THE TOOLS, TACTICS, AND MOTIVES OF THE email the Honeynet Project
Presentaciones
Artículos
Herramientas
spacer
spacer  
Sebek FAQ
spacer

Sebek es una solución muy potente diseñada para la captura de datos. A veces la gente se encuentra con problemas comunes, o preguntas frecuentes (FAQs). Esta página intenta responderlas. Se asume que ya has leído y comprendido el artículo Conoce a tu enemigo: Sebek.

Última actualización: 24 de enero de 2004



¿Qué es Sebek?
Sebek es una herramienta diseñada para capturar datos. Captura toda la actividad de un atacante en un sistema trampa (honeypot) sin que el atacante lo sepa. Luego envía los datos capturados a un sistema de registro central (Véase la Figura A). Puede recuperar cosas como pulsaciones de teclado, ficheros enviados, contraseñas, conversaciones de IRC, incluso cuando las comunicaciones están cifradas (SSH, IPSec, SSL).

¿Puedo ejecutar el cliente y el servidor Sebek en el mismo sistema?
No. Uno de los propósitos del cliente es el de esconder todos los datos exportados desde el sistema. Si instalas el servidor en el cliente, el servidor no podrá ver o recoger los datos de cliente, ya que el cliente se los está escondiendo al servidor.

¿Qué es el cliente Sebek?
Esta es la parte de Sebek que se instala en todos los sistemas trampa. Se instala como un módulo kernel (o parche) que copia todas las acciones del atacante, y luego las envía al servidor remoto. El módulo kernel oculta todos los paquetes de Sebek enviados desde el sistema trampa a la red. Esto lo hace impidiendo al atacante rastrear o monitorizar cualquier paquete que contenga el puerto UDP destino predeterminado y el número mágico de identificación en el paquete Sebek.

¿El cliente Sebek es detectable?
Probablemente sí. El código fuente es OpenSource, por lo que cualquiera puede analizarlo. Una vez que el atacante tenga acceso privilegiado al sistema trampa, y sepa qué buscar, puede potencialmente encontrarlo. Para contrarrestar esta amenaza, lo mejor es monitorizar la actividad de tu sistema trampa, incluyendo la subida de ficheros o la utilización de los mismos. También es recomendable que configures o cambies el cliente Sebek, haciéndolo más dificil de detectar por los atacantes, ya que sería diferente de la instalación por defecto.

¿Qué dirección MAC debería utilizar para configurar el cliente?
Sugerimos el uso de la dirección MAC de la puerta de enlace por defecto de la red. Puedes utilizar cualquiera que permita hacer llegar el paquete al recolector.

¿Puedo utilizar direcciones MAC de sistemas que no existen?
Utilizar una dirección MAC no existente, tiene el mismo efecto que utilizar la dirección MAC broadcast.

¿Qué es el servidor Sebek?
El servidor Sebek es el sistema de registro central que recopila todos los paquetes de Sebek de los sistemas trampa. Normalmente el servidor Sebek está instalado en el Honeywall gateway. El servidor consta de tres herramientas: sbk_extract, sbk_ks_log.pl, sbk_upload.pl.

  • sbk_extract:. Un programa en C que recopila paquetes Sebek para su análisis. Puede extraer paquetes Sebek tanto de un fichero tcpdump, como directamente de la red en tiempo real.
  • sbk_ks_log.pl: Script en Perl que recoge paquetes Sebek y muestra las pulsaciones de teclado del atacante en STDOUT.
  • sbk_upload.pl: Script en Perl que recoge paquetes Sebek y los carga en una base de datos para un análisis más avanzado. La base de datos puede ser local o remota.

El servidor de Sebek Server está mostrando caracteres repetidos
Esto puede deberse a ejecutar dos procesos de sbk_extract. Asegúrate de que sólo tienes un proceso sbk_extract.


Back to Top